You are on page 1of 30

Privacidad: Seguridad Lgica y

Fsica.
Contenidos:
Seguridad Informtica
Objetivos de la seguridad
Sistemas de Seguridad Informtica
Polticas de Seguridad: Etapas y Mtodos
Medios de proteccin: Antivirus, Firewall, Criptografa, Antiespas.
La Seguridad Fsica y Electrnica
o - Tipos de Desastres: Incendios, Inundaciones,
Condiciones Climatolgicas, Seales de Radar,
Instalaciones Elctricas, Ergometra
o - Acciones Hostiles: Robo, Fraude, Sabotaje
o - Guardias, Detectores de Metales, Sistemas Biomtricos,
Verificacin Automtica de Firmas, Seguridad con
Animales, Proteccin Electrnica
Detectives, Espionaje y Contraespionaje: Otros tipos de Vigilancia
La Seguridad Lgica y la Seguridad de la Informacin
Controles de Acceso
Niveles de Seguridad Informtica
Convergencia: Seguridad Integral
Relaciones entre gobierno, administracin y operacin de la seguridad
Anexo Seguridad Fsica y Lgica
Relacionados: Seguridad Bsica para Empresas, Biometra , Ciberataques , Ciberguerra , Cloud
Computing , Criptografa , Privacidad y Proteccin de Datos ,Rootkit, Spyware, Scam, Hoax, Phishing, Pharming e
Ingenieria Social, Robo de identidad y Phishing , Botnets: Redes Zombies
Tags: pyme, cloud computing, Somoclo, malware, botnet, virus, spyware, rootkit, firewall, ciberespionaje, phishing, vishing,
smishing, spoofing, BYOD, keylogger, big data , biometra, detectives, contraespionaje

Seguridad Informtica
La seguridad es un elemento capacitador de las ciudades del futuro
La seguridad informtica se define como el conjunto de mtodos y herramientas destinados a proteger los sistemas
ante cualquier amenaza.

En nuestro caso los hacemos extensivos tambin a la Seguridad y Privacidad del Internauta, razn principal de
nuestra existencia. Inclumos como Internauta a nios, adolescentes, padres, educadores, empresarios o
trabajadores.

La seguridad de los sistemas de informacin se suele comparar con una cadena, la cual es segura si el eslabn ms
dbil tambin lo es. Para encontrar ese eslabn y protegerlo se tiene que tratar la seguridad desde distintos puntos
de vista:
- Establecer la seguridad fsica que afecta a la infraestructura y al material.
- Establecer la seguridad lgica para proteger datos, aplicaciones y sistemas operativos.
- Concienciar a los usuarios de la importancia de la seguridad del equipo, del sistema y de la informacin.
- Proteger los sistemas de comunicacin, especialmente en las redes.

Objetivos de la seguridad
El objetivo principal de la seguridad informtica es garantizar que los recursos y la informacin estn protegidos y
para protegerlo son necesarios conseguir los siguientes aspectos:
- Integridad: slo los usuarios autorizados podrn modificar la informacin.
- Confidencialidad: slo los usuarios autorizados tendrn acceso a los recursos y a la informacin que utilicen.
- Disponibilidad: la informacin debe estar disponible cuando se necesite.
- Irrefutabilidad: el usuario no puede refutar o negar una operacin realizada.

Sistemas de Seguridad Informtica

Hoy en da es imposible hablar de un sistema cien por cien seguro, ya
que el costo de la seguridad total es muy alto. Sin embargo, es posible
controlar una gran parte de la vulnerabilidades acotando aspectos
relativos a procedimientos y estrategias.

Organizaciones gubernamentales y no gubernamentales internacionales
han desarrollado una serie de directrices y recomendaciones sobre el
uso adecuado de las nuevas tecnologa, evitando el uso indebido de las
mismas y obteniendo el mximo aprovechamiento.

Surgen as, las llamadas Polticas de Seguridad Informtica (PSI) como
una herramienta para concienciar a cada uno de los miembros de una
organizacin sobre la importancia y sensibilidad de la informacin y su seguridad. Hacen referencia tambin a los
equipos que la soportan, incluyendo hardware y software, y a los usuarios que la manejan.

Polticas de Seguridad
La poltica de seguridad define una serie de reglas, procedimientos y prcticas ptimas que aseguren un nivel de
seguridad que est a la altura de las necesidades del sistema.

Se basa, por tanto, en la minimizacin del riesgo, el cual viene definido por la siguiente ecuacin:
RIESGO = (AMENAZA x VULNERABILIDAD) / CONTRAMEDIDAS.
En esta ecuacin, la amenaza representa el tipo de accin maliciosa, la vulnerabilidad es el grado de exposicin a
dicha accin y la contramedida es el conjunto de acciones que se implementan para prevenir o evitar la amenaza. La
determinacin de estos componentes indica el riesgo del sistema.
Etapas
La poltica de seguridad de un sistema informtico se define en cuatro etapas:
1- La definicin de las necesidades de seguridad y de los riesgos informticos del sistema as como sus posibles
consecuencias, es el primer escaln a la hora de establecer una poltica de seguridad. El objetivo de esta etapa es
determinar las necesidades mediante la elaboracin de un inventario del sistema, el estudio de los diferentes riesgos
y de las posibles amenazas.

2- La implementacin de una poltica de seguridad consiste en establecer los mtodos y mecanismos diseados para
que el sistema de informacin sea seguro, y aplicar las reglas definidas en la poltica de seguridad. Los mecanismos
ms utilizados son los sistemas firewall, los algoritmos criptogrficos y la configuracin de redes virtuales privadas
(VPN). Los estudiaremos en profundidad en el siguiente punto.

3- Realizar una auditora de seguridad para validar las medidas de proteccin adoptadas en el diseo de la poltica de
seguridad. Cuando se trata de compaas, organismos oficiales o grandes redes, suelen realizarlas empresas
externas especializadas. Tambin se llama etapa de deteccin de incidentes, ya que ste es su fin ltimo.

4- La definicin de las acciones a realizar en caso de detectar una amenaza es el resultado final de la poltica de
seguridad. Se trata de pever y planificar una las medidas que han de tomarse cuando surga algn problema. Esta
etapa tambin es conocida como etapa de reaccin puesto que es la respuesta a la amenaza producida.

Mtodos
Para definir una poltica de seguridad informtica se han desarrollado distintos mtodos, diferencindose
especialmente por la forma de analizar los riesgos. Algunos de ellos son:
- Mtodo MEHARI (Mtodo armonizado de anlisis de riesgos), desarrollado por CLUSIF (Club de la Scurit de
l'Information Franais), se basa en mantener los riesgos a un nivel convenido mediante un anlisis riguroso y una
evaluacin cuantitativa de los factores de riesgo.
- Mtodo EBIOS (expresin de las necesidades e identificacin de los objetivos de seguridad), desarrollado por la
DCSSI (Direction Centrale de la Scurit des Systmes d'Information, permite apreciar y tratar los riesgos relativos a
la seguridad de los sistemas de informacin.
- La norma ISO/IEC 17799 es una gua de buenas prcticas pero no especifica requisitos para establecer un
sistema de certificacin.
- La norma ISO/IEC 27001 es certificable ya que especifica los requisitos para establecer, implantar, mantener y
mejorar un sistema de gestin de la seguridad segn el PDCA, acrnimo de "plan, do, check, act" (planificar, hacer,
verificar, actuar).

Medios de proteccin
Chip no entiende cmo ha podido coger la gripe: est vacunado contra un montn de virus, siempre va bien
abrigado y tiene una buena higiene. Tantas medidas de proteccin y no se ha escapado. Es cierto, nunca estamos
protegidos al cien por cien de las enfermedades. Lo mismo ocurre con los sistemas informticos, por muchos medios
de proteccin que se utilicen, nunca se conseguir una seguridad total.

Ya hemos visto en los puntos anteriores que muchas de las vulnerabilidades de un sistema son debidas a la falta de
polticas de seguridad y a problemas ocasionados por los usuarios. A continuacin vamos a verlos medios ms
utilizados para evitar o eliminar estas vulnerabilidades.

Antivirus
Son programas que detectan cdigos maliciosos, evitan su
activacin y propagacin y, si es posible, incluso eliminan el dao
producido.

Se llaman antivirus porque surgieron para eliminar este tipo de
malware, pero hoy en da han evolucionado y detectan otros tipos
de malware como troyanos, gusanos o espas, y cuentan adems
con rutinas de recuperacin y reconstruccin de archivos daados.

El funcionamiento de los antivirus se basa en un programa residente
que se instala en la memoria del ordenador y analiza cualquier
archivo, programa o aplicacin mientras est encendido.

Para ello, tienen una base de datos actualizada con los cdigos
maliciosos. Hoy en da, disponen de la funcin de escaneado para
revisar cualquier sistema de almacenamiento interno o externo y
tambin los hay que realizan este anlisis desde internet.

Las tcnicas ms utilizadas por los antivirus son las siguientes:
- Deteccin de firma: cada cdigo malicioso se caracteriza por una cadena de caracteres llamada firma del virus.
Los antivirus tienen registradas estas cadenas y las buscan para detectar los virus.

- Bsqueda de excepciones: se utiliza en el caso de que el virus cambie de cadena cada vez que realiza una
infeccin (virus polimorfos). Son difciles de buscar, pero hay antivirus especializados.

- Anlisis heurstico: se basa en el anlisis del comportamiento de las aplicaciones para detectar una actividad
similar a la de un virus ya conocido. Es la nica tcnica automtica de deteccin de virus.

- Verificacin de identidad o vacunacin: el antivirus almacena informacin de los archivos y, cada vez que se
abren, compara esta informacin con la guardada. Cuando detecta una anomala, avisa al usuario.
Firewall
Un firewall (pared cortafuegos) es un elemento de hardware o software ubicado entre dos redes y que ejerce la una
poltica de seguridad establecida. Protege una red confiable de una que no lo es (por ejemplo, internet) evitando que
pueda aprovechar las vulnerabilidades de la red interna.


E l uso de firewall se ha convertido en algo fundamental ya que es
el elemento que controla el acceso entre dos redes y, si no
existiera, todos los ordenadores de la red estaran expuestos a
ataques desde el exterior.

Sin embargo, el firewall no es un sistema inteligente ya que acta
segn los parmetros establecidos y si un paquete de informacin
no est definido dentro de estos parmetros como cdigo malicioso,
lo deja pasar.

Normalmente se suele complementar con otro medio de proteccin,
por ejemplo un antivirus, ya que no contiene herramientas para
filtrar los virus.

Existen muchos tipos de firewall (filtrado de paquetes, servidor proxy-gateway, personales) y su eleccin depender
de las limitaciones y capacidades del sistema por un lado, y de las vulnerabilidades y las amenazas de la red externa
por otro.

Criptografa
La criptografa es una ciencia utilizada desde la antigedad que consiste en transformar un mensaje inteligible en
otro que no lo es utilizando claves que slo el emisor y el destinatario conocen, para despus devolverlo a su forma
original, sin que nadie que vea el mensaje cifrado sea capaz de entenderlo.

La criptografa simtrica permite establecer una comunicacin segura entre las partes siempre y cuando
anteriormente se hayan intercambiado una clave llamada "clave simtrica" que se utiliza para cifrar y para descifrar.

La criptografa tiene en la actualidad multitud de aplicaciones en informtica, entre las cuales destacan las siguientes:
- Seguridad de las comunicaciones: permite establecer canales seguros sobre redes que no lo son.
- Identificacin y autentificacin: se emplean las firmas digitales y otras tcnicas criptogrficas para garantizar
la autenticidad del remitente y verificar la integridad del mensaje recibido.
- Certificacin: se basa en la validacin por agentes fiables (como una entidad certificadora) de la identidad de
agentes desconocidos.
- Comercio electrnico: es un sistema muy utilizado ya que reduce el riesgo de fraudes, estafas y robos en
operaciones realizadas a travs de internet.

Antiespas
Son programas diseados para detectar, detener y eliminar los cdigos maliciosos de programas espas (spyware). A
veces, vienen incluidos en los antivirus, pero son ms efectivos los diseados especficamente para eliminar este tipo
de malware.
Al igual que los antivirus, es necesario que el mdulo residente est activado para detectar el cdigo malicioso antes
de que se instale en el sistema. Tambin es
importante mantener actualizadas las bases de
cdigos.
Siguiendo las pautas del libro Holistic Management ,
podramos definir la seguridad ( figura 1 ), al igual que
una organizacin, como un sistema viable, muy
complejo, con un propsito, probabilstico y con
posibilidades (esta ltima caracterstica no es parte de lo propuesto por el libro mencionado).
Viable , hace referencia a la capacidad de continuar existiendo en su entorno por s mismo independiente del medio.
La seguridad es viable en s misma gracias a su dual, la inseguridad que vive permanentemente en el entorno, que le
permite desarrollar la capacidad para manifestarse ante situaciones fortuitas, inesperadas y desconocidas. En este
orden de ideas, no es posible pensar en la seguridad, sin considerar su dual, como el motivador clave para repensar
el mismo.
Muy complejo , entendida esta caracterstica como las mltiples operaciones que realiza el sistema, que bajo la
coordinacin de todos sus miembros y basado en un cuidadoso diseo de estructuras de manejo y flujo de
informacin, procura la viabilidad del mismo y el logro de sus objetivos. En el contexto de la seguridad, hablamos de
las consideraciones de gestin del sistema de proteccin, basado en un reconocimiento y entendimiento de los
riesgos como un elemento fundamental de la dinmica de la organizacin. Este sistema permanentemente se ve
expuesto a las condiciones de la inseguridad, razn por la cual la complejidad propia del sistema, se debe mantener
bajo observacin y administracin para lograr los objetivos propios del mismo.
Con un propsito es una caracterstica que nos habla de la capacidad de lograr los objetivos deseados. Para la
seguridad, lograr los objetivos significa aumentar la confiabilidad del sistema que protege. Dicha confiabilidad, no es
otra cosa que el reconocimiento de la inseguridad propia del entorno y del sistema que se quiere proteger, como la
cuota de riesgos o amenaza que se debe administrar.
Probabilstico significa que el comportamiento de sus partes son probabilsticas e impredecibles, pero pueden ser
guiados para alcanzar el objetivo deseado. En el contexto de la seguridad, exige del administrador del sistema de
proteccin, reconocer la inseguridad como el evento probable e impredecible, que dice que tan confiable puedo
llegar a ser.
Con posibilidades es una caracterstica que es complementaria e inherente a las interaccin de todas las anteriores,
pues busca reconocer en la accin de las propiedades explicadas previamente, opciones de conocimiento,
aprendizaje y desaprendizaje de la seguridad, no solamente basado en el comportamiento del sistema de gestin de
la seguridad, sino en las ventanas creativas que surgen cada vez que la inseguridad se materializa.
Si lo anterior es correcto, estamos ante un concepto que evoluciona y crece con las condiciones del entorno, quien se
alimenta de su dual de manera permanente, para hacer de la gestin de la seguridad un ejercicio permanente y
creativo para enfrentar los errores, fallas y vulnerabilidades de la seguridad y as mantener un nivel de confiabilidad
en el contexto del negocio.
Reconociendo a la seguridad como un concepto sistmico y holstico que debe ser parte inherente de los procesos de
negocio, se hace necesario analizar la evolucin del mismo ms all de las fronteras de la lgica de los datos
procesados y de los dispositivos de hardware conocidos, para avanzar en una construccin de un concepto de
seguridad corporativo, integral y global, que vincule el mundo fsico, informtico y electrnico en una sola vista, con
muchos lentes, que pueda ser comprendida por los ejecutivos de negocio, los gerentes de tecnologa y seguridad
fsica, as como por los individuos de la empresa.
En razn con lo anterior, se desarrolla este documento que busca animar una reflexin bsica sobre el concepto de
Enterprise Security Management ( ESM ) (Administracin de la Seguridad Corporativa), como fundamento de una
nueva generacin de ejecutivos de la seguridad, que pensando de manera relacional, avanzan desde las necesidades
operacionales de la seguridad, hacia las exigencias tcticas y estratgicas de proteccin que se encuentran en las
mentes y agendas de los ejecutivos de ms alto nivel de las empresas.
La Seguridad Fsica y Electrnica


L a historia de la seguridad inicia siempre con una materia prima para
su existencia: un riesgo, un peligro, una amenaza. En este sentido, el
escenario de la seguridad fsica se desarrolla en el contexto de la guerra
contra un enemigo, que no busca otra cosa que vulnerar las estrategias
de control y contencin, entre otras, que tiene el objetivo atacado, para apoderarse de ste.
La Seguridad Fsica se refiere a todos los niveles de seguridad que garanticen desde el que no se roben los equipos,
hasta el que no se mojen, no se caigan, no ingresen personas ajenas, no hayan cables tirados por todos lados
poniendo en peligro a las personas por una cada, que no ingieran alimentos cerca de ellos, etc.
" Un experto es aquel que sabe cada vez ms sobre menos cosas, hasta que sabe absolutamente todo sobre nada..
es la persona que evita los errores pequeos mientras sigue su avance inexorable hacia la gran falacia"
Definicin de Webwer - Corolario de Weinberger (Leyes de Murphy)
Este tipo de seguridad est enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza
del medio fsico en que se encuentra ubicado el sistema. Las principales amenazas que se prevn son:
- Desastres naturales, incendios accidentales y cualquier variacin producida por las condiciones ambientales.
- Amenazas ocasionadas por el hombre como robos o sabotajes.
- Disturbios internos y externos deliberados.
Evaluar y controlar permanentemente la seguridad fsica del sistema es la base para comenzar a integrar la
seguridad como funcin primordial del mismo. Tener controlado el ambiente y acceso fsico permite disminuir
siniestros y tener los medios para luchar contra accidentes.

Es muy importante ser consciente que por ms que nuestra empresa sea la ms segura desde el punto de vista de
ataques externos, Hackers, virus, etc. (conceptos luego tratados); la seguridad de la misma ser nula si no se ha
previsto como combatir un incendio.

La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un sistema informtico. Si bien
algunos de los aspectos tratados a continuacin se prevn, otros, como la deteccin de un atacante interno a la
empresa que intenta a acceder fsicamente a una sala de operaciones de la misma, no.

Esto puede derivar en que para un atacante sea ms fcil lograr tomar y copiar una cinta de la sala, que intentar
acceder va lgica a la misma.

As, la Seguridad Fsica consiste en la "aplicacin de barreras fsicas y procedimientos de control, como medidas de
prevencin y contramedidas ante amenazas a los recursos e informacin confidencial"(1). Se refiere a los controles y
mecanismos de seguridad dentro y alrededor del Centro de Cmputo as como los medios de acceso remoto al y
desde el mismo; implementados para
proteger el hardware y medios de
almacenamiento de datos.
De acuerdo con los tericos, existen
cuatro categoras de seguridad fsica (
figura 2 ): las obstrucciones fsicas, las
tcnicas de vigilancia, los sistemas de
inteligencia y los guardias o personal de
seguridad . Estas cuatro categoras
representan la caracterizacin de la
seguridad misma en el mundo tangible,
que an hoy por hoy existen y que
cuentan, todas ellas con su referente en
el mundo lgico.
Las obstrucciones fsicas , al igual que
en el pasado, constituyen castillos,
fuertes, puertas blindadas, paredes
reforzadas, entre otras. Tener una fortificacin, supona una posicin fuerte, de ventaja y cuidado para aquellos que
quisieran vulnerarlo. Cada castillo era construido para "hacerle difcil" el ingreso a cualquier intruso que, sin
autorizacin, quisiera tener acceso a los bienes protegidos por la construccin. Un fuerte era el signo de avance en
tcnicas de proteccin fsica, que asistido por candados, llaves de acceso y combinaciones hacan de la edificacin un
reto de inteligencia y sorpresa para aquellos que quisieran intentar traspasar sus barreras.
Las tcnicas de vigilancia , como aspecto complementario a la edificacin, era un elemento clave para alertar
cualquier movimiento que se percibiera en el permetro de acceso a la edificacin. El concepto de monitoreo y
vigilancia se desarrolla a la par con el avance en las edificaciones, hacindose parte inherente de los diseos de
stos, como se sigue manteniendo hasta nuestros das. El monitoreo permanente y el sistema de alarmas (seguridad
electrnica) que materializan algunas de las tcnicas de vigilancia, establecen nuevos procesos y procedimientos que
deben cumplirse como parte del sistema de proteccin de la edificacin. La vigilancia no es componente accesorio de
la edificacin, es el sistema nervioso de la edificacin, que ahora cobra vida gracias a las alertas permanentes del
monitoreo.
Los sistemas de inteligencia surgen como la forma ms clara de analizar la informacin resultado de los sistemas de
monitoreo y de reconocimiento del entorno de la edificacin protegida. La inteligencia no solamente recaba
informacin del ambiente donde se encuentra, sino indaga ms all de sus lmites para hacer mejores estimaciones
que permitan tener ventaja tctica y operativa ante amenazas y situaciones que pueden afectar el nivel de proteccin
de la edificacin y sus bienes. La funcin de inteligencia muestra la capacidad del componente humano, que asistido
por las tcnicas modernas de procesamiento de informacin, es capaz de simular escenarios, para tomar decisiones
claras ante situaciones no previstas por la
organizacin, pero probables en el contexto de su
anlisis.
La guardia humana , los especialistas en
proteccin fsica, son el componente de
inteligencia humana y de efectividad operacional
ante una amenaza. Es quien acta y decide frente
a una alarma o un escenario de falla, con el fin de
conjurar el peligro o vulnerabilidad que pueda ser
detectada.

La seguridad materializada en los guardias o
vigilantes, representa, al mismo tiempo, la mayor
fortaleza del sistema de proteccin, pero tambin
su peor enemigo.

Si este personal, se encuentra claramente entrenado y capacitado frente a los procedimientos de operacin previstos
y reconoce en la inseguridad su aliada para desarrollar estrategias de defensa, estamos ante un elemento que edifica
y fortalece el sistema de seguridad.

De lo contrario, se advierte la presencia de un efecto sistmico de vulnerabilidad (falla en el diseo) del concepto de
proteccin del sistema que lo contiene.
Los cuatro elementos mencionados nos muestran que la seguridad es un proceso natural y propio del ser humano
que vive en comunidad, es una propiedad que de manera intangible se exige en el escenario de la actividad
empresarial y personal, no como algo que es accesorio o innecesario, sino como aquello que es necesario para actuar
y animar las actividades humanas en todos los escenarios de la vida.


Detectives, Espionaje y Contraespionaje: Otros tipos de
Vigilancia
Lo que pueden saber de nuestra intimidad sin que nos enteremos.
La tecnologa nos da muchas facilidades, pero tambin abre puertas a que nuestra vida privada quede en manos de
personas carentes de tica.

En una definicin simple podramos definir detective privado como la persona, normalmente profesional, que se
encarga de realizar investigaciones por encargo de una de las partes, con un cierto carcter probatorio. Y el espa
dedicado a materia industrial o poltica, cuyo trabajo se encuentra en muchas ocasiones bordeando los lmites de la
ley, o incluso superndolos.

En vista de los ltimos acontecimientos que hemos conocido a travs de los medios de comunicacin, con filtraciones
de supuestos papeles, o grabaciones de conversaciones privadas entre formaciones polticas, no hay mucha duda a
la hora de afirmar que tanto en el mbito personal como en el profesional hemos descuidado mucho la proteccin
de nuestro entorno.

Nuestra familia, nuestra intimidad, nuestra empresa, son fcil objetivo de quienes desean enterarse de todo cuanto
nos rodea con fines ms o menos ilcitos. Es ms nos sorprenderamos por el nmero y la tipologa de las
investigaciones que se encargan todas las semanas, segn expertos espaoles en la materia.

La tecnologa puede ser nuestra aliada, pero tambin nuestro peor enemigo. Y por eso todos deberamos de ser un
poco ms conscientes de lo mnimo que deberamos de proteger.

Es cierto que los detectives privados deben de seguir un cdigo deontolgico, y hay lmites que no se deben
sobrepasar. Pero normalmente cuando hay dinero de por medio los lmites se pueden traspasar fcilmente. Alguno
de esos lmites se ha pasado en los temas ms recurrentes de los medios de comunicacin, como las escuchas
telefnicas denunciadas por la Presidenta del PP de Catalua, Alicia Snchez Camacho. Hay quienes opinan que este
asunto ha sido una investigacin chapucera, porque una agencia de detectives no puede demostrar falta de
respeto al cliente con filtraciones o difusin pblica de sus investigaciones.

Adems, en el caso de una intervencin telefnica existe una legislacin que hay que respetar. Por ejemplo, nos
cuenta yo puedo grabar la conversacin telefnica que estoy manteniendo contigo, porque soy una de las partes
implicadas. Pero la cosa cambia a la hora de dar difusin a esta conversacin, o si he grabado la conversacin
telefnica, por ejemplo, entre dos de los socios de mi empresa.

mbito empresarial, domstico o emocional
En el mbito empresarial, si hablamos de espionaje, lo ms habitual es que soliciten investigaciones sobre
cuestiones legales de empresas de la competencia, para saber si estn cometiendo alguna posible ilegalidad o
irregularidad.

Pero tambin en nuestro entorno ms cercano cada vez existe ms demanda en temas de infidelidades, y, en la
actualidad, para saber qu es lo que hacen nuestros hijos cuando no estamos, o qu conversaciones mantienen por
telfono o a travs de las redes sociales.

Y a da de hoy todo es posible. Existen en el mercado diferentes dispositivos que nos permiten escuchar en tiempo
real las conversaciones entre telfonos mviles. Cuanto ms modernos sea el telfono que compremos a nuestros
hijos ms posibilidades tenemos de controlarlos, porque disponemos de programas espas que lo hacen posible.

Eso s, hay que tener en cuenta que este tipo de escuchas a nuestros propios hijos solo las podemos realizar de
forma legal mientras que son menores de edad.

Otro de los gadgets ms demandados son los que permiten or, ver y grabar. Existe una amplia gama de
dispositivos que podemos instalar con facilidad, por ejemplo, en un coche, y as enterarnos de las conversaciones
que se mantienen en l.

Contraespionaje
Se recomienda entonces adoptar una serie de precauciones bsicas, especialmente si somos empresarios, abogados
o asesores. Para ellos existen diversos cursos bsicos en los que se incluyen recomendaciones como el escaneado
peridico de la oficina, para detectar posibles escuchas, el vigilar la documentacin y la papelera, e incluso el
ordenador, en el que puede haber instalado algn tipo de software que permita a alguien saber lo que hacemos en
cada momento.

Respecto a la telefona mvil, al igual que existen dispositivos para interferir o escuchar nuestras comunicaciones,
tambin cabe la posibilidad de hacerse con un terminal encriptado, que codifica las conversaciones y evita que sean
escuchadas por los ms curiosos.

En estos cursos profesionales de las diferentes disciplinas imparten una base de conocimientos sobre las diferentes
tcnicas de investigacin sobre personas, empresas o instituciones, los conocimientos necesarios sobre la utilizacin
de aparatos electrnicos, su deteccin y bloqueo de los mismos, bien electrnicamente bien fsicamente.

En realidad estos cursos son equivalentes al de un detective privado pero para evitar ser espiado o investigado tanto
a nivel personal como profesional.
Tipos de Desastres
No ser la primera vez que se mencione en este trabajo, que cada sistema es nico y por lo tanto la poltica de
seguridad a implementar no ser nica. Este concepto vale, tambin, para el edificio en el que nos encontramos. Es
por ello que siempre se recomendarn pautas de aplicacin general y no procedimientos especficos. Para
ejemplificar esto: valdr de poco tener en cuenta aqu, en Entre Ros, tcnicas de seguridad ante terremotos; pero s
ser de mxima utilidad en Los Angeles, EE.UU.

Este tipo de seguridad est enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza
del medio fsico en que se encuentra ubicado el centro.

No hace falta recurrir a pelculas de espionaje para sacar ideas de cmo obtener la mxima seguridad en un sistema
informtico, adems de que la solucin sera extremadamente cara.

A veces basta recurrir al sentido comn para darse cuenta que cerrar una puerta con llave o cortar la electricidad en
ciertas reas siguen siendo tcnicas vlidas en cualquier entorno.

A continuacin se analizan los peligros ms importantes que se corren en un centro de procesamiento; con el
objetivo de mantener una serie de acciones a seguir en forma eficaz y oportuna para la prevencin, reduccin,
recuperacin y correccin de los diferentes tipos de riesgos.
Incendios (leer ms)
Inundaciones: Se las define como la invasin de agua por exceso de escurrimientos superficiales o por
acumulacin en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial. Esta es una de
las causas de mayores desastres en centros de cmputos. Adems de las causas naturales de inundaciones,
puede existir la posibilidad de una inundacin provocada por la necesidad de apagar un incendio en un piso
superior. Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo
impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas para contener
el agua que bajase por las escaleras.
Condiciones Climatolgicas (leer ms)
Seales de Radar: La influencia de las seales o rayos de radar sobre el funcionamiento de una
computadora ha sido exhaustivamente estudiada desde hace varios aos. Los resultados de las
investigaciones ms recientes son que las seales muy fuertes de radar pueden inferir en el procesamiento
electrnico de la informacin, pero nicamente si la seal que alcanza el equipo es de 5 Volts/Metro, o
mayor. Ello podra ocurrir slo si la antena respectiva fuera visible desde una ventana del centro de
procesamiento respectivo y, en algn momento, estuviera apuntando directamente hacia dicha ventana.
Instalaciones Elctricas (leer ms)
Ergometra (leer ms)
Acciones Hostiles
Robo: Las computadoras son posesiones valiosas de las empresas y estn expuestas, de la misma forma
que lo estn las piezas de stock e incluso el dinero. Es frecuente que los operadores utilicen la computadora
de la empresa para realizar trabajos privados o para otras organizaciones y, de esta manera, robar tiempo
de mquina. La informacin importante o confidencial puede ser fcilmente copiada. Muchas empresas
invierten millones de dlares en programas y archivos de informacin, a los que dan menor proteccin que
la que otorgan a una mquina de escribir o una calculadora. El software, es una propiedad muy fcilmente
sustrable y las cintas y discos son fcilmente copiados sin dejar ningn rastro
Fraude: Cada ao, millones de dlares son sustrados de empresas y, en muchas ocasiones, las
computadoras han sido utilizadas como instrumento para dichos fines. Sin embargo, debido a que ninguna
de las partes implicadas (compaa, empleados, fabricantes, auditores, etc.), tienen algo que ganar, sino
que ms bien pierden en imgen, no se da ninguna publicidad a este tipo de situaciones.
Sabotaje: El peligro ms temido en los centros de procesamiento de datos, es el sabotaje. Empresas que
han intentado implementar programas de seguridad de alto nivel, han encontrado que la proteccin contra
el saboteador es uno de los retos ms duros. Este puede ser un empleado o un sujeto ajeno a la propia
empresa. Fsicamente, los imanes son las herramientas a las que se recurre, ya que con una ligera pasada
la informacin desaparece, aunque las cintas estn almacenadas en el interior de su funda de proteccin.
Una habitacin llena de cintas puede ser destruida en pocos minutos y los centros de procesamiento de
datos pueden ser destruidos sin entrar en ellos. Adems, suciedad, partculas de metal o gasolina pueden
ser introducidos por los conductos de aire acondicionado. Las lneas de comunicaciones y elctricas pueden
ser cortadas, etc.
Control de Accesos: El control de acceso no slo requiere la capacidad de identificacin, sino tambin
asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de
tiempo, rea o sector dentro de una empresa o institucin.
Utilizacin de Guardias (leer ms)
Utilizacin de Detectores de Metales: El detector de metales es un elemento sumamente prctico para
la revisin de personas, ofreciendo grandes ventajas sobre el sistema de palpacin manual. La sensibilidad
del detector es regulable, permitiendo de esta manera establecer un volumen metlico mnimo, a partir del
cual se activar la alarma. La utilizacin de este tipo de detectores debe hacerse conocer a todo el
personal. De este modo, actuar como elemento disuasivo.
Utilizacin de Sistemas Biomtricos (leer ms)
Verificacin Automtica de Firmas (VAF): En este
caso lo que se considera es lo que el usuario es capaz de
hacer, aunque tambin podra encuadrarse dentro de las
verificaciones biomtricas. Mientras es posible para un
falsificador producir una buena copia visual o facsmil, es
extremadamente difcil reproducir las dinmicas de una
persona: por ejemplo la firma genuina con exactitud. La
VAF, usando emisiones acsticas toma datos del proceso
dinmico de firmar o de escribir.

La secuencia sonora de emisin acstica generada por el
proceso de escribir constituye un patrn que es nico en
cada individuo. El patrn contiene informacin extensa
sobre la manera en que la escritura es ejecutada. El
equipamiento de coleccin de firmas es inherentemente de
bajo costo y robusto. Esencialmente, consta de un bloque
de metal (o algn otro material con propiedades acsticas
similares) y una computadora barata.
Seguridad con Animales: Sirven para grandes extensiones de terreno, y adems tienen rganos
sensitivos mucho ms sensibles que los de cualquier dispositivo y, generalmente, el costo de cuidado y
mantenimiento se disminuye considerablemente utilizando este tipo de sistema. As mismo, este sistema
posee la desventaja de que los animales pueden ser engaados para lograr el acceso deseado.
Proteccin Electrnica (leer ms)
En conclusin, evaluar y controlar permanentemente la seguridad fsica del edificio es la base para o comenzar a
integrar la seguridad como una funcin primordial dentro de cualquier organismo. Tener controlado el ambiente y
acceso fsico permite:
disminuir siniestros
trabajar mejor manteniendo la sensacin de seguridad
descartar falsas hiptesis si se produjeran incidentes
tener los medios para luchar contra accidentes
Las distintas alternativas vistas son suficientes para conocer en todo momento el estado del medio en el que nos
desempeamos; y as tomar decisiones sobre la base de la informacin brindada por los medios de control
adecuados.
Estas decisiones pueden variar desde el conocimiento de la reas que recorren ciertas personas hasta la extremo de
evacuar el edificio en caso de accidentes.
La Seguridad Lgica y la Seguridad
de la Informacin
La evolucin normal del concepto de seguridad en una sociedad
de la informacin y el conocimiento, hace que las estrategias de
seguridad de la antigedad cobren vida en un mundo regido por
los " bits y bytes ." Todas las condiciones de seguridad analizadas
en el aparte anterior tienen sus equivalentes en el mundo de la
informtica y la tecnologa.
La Seguridad Lgica se refiere a que la informacin solo pueda ser
accesada parcialmente segn el puesto de la persona, de modo
que solo el administrador del sistema y alguno otro alto
funcionario tenga acceso completo, eso previene fraudes y otros daos.

Hay quienes incluyen en la seguridad lgica, la seguridad de la informacin, lo que incluye la proteccin contra virus,
robos de datos, modificaciones, intrusiones no autorizadas, respaldos adecuados y dems cosas relacionadas.
El activo ms importante de un sistema informtico es la informacin y, por tanto, la seguridad lgica se plantea
como uno de los objetivos ms importantes.
Despus de ver cmo nuestro sistema puede verse afectado por la falta de Seguridad Fsica, es importante recalcar
que la mayora de los daos que puede sufrir un centro de cmputos no ser sobre los medios fsicos sino contra
informacin por l almacenada y procesada.

As, la Seguridad Fsica, slo es una parte del amplio espectro que se debe cubrir para no vivir con una sensacin
ficticia de seguridad. Como ya se ha mencionado, el activo ms importante que se posee es la informacin, y por lo
tanto deben existir tcnicas, ms all de la seguridad fsica, que la aseguren. Estas tcnicas las brinda la Seguridad
Lgica.

Es decir que la Seguridad Lgica consiste en la "aplicacin de barreras y procedimientos que resguarden el acceso a
los datos y slo se permita acceder a ellos a las personas autorizadas para hacerlo."

Existe un viejo dicho en la seguridad informtica que dicta que "todo lo que no est permitido debe estar prohibido"
y esto es lo que debe asegurar la Seguridad Lgica.

Los objetivos que se plantean sern:
- Restringir el acceso a los programas y archivos.
- Asegurar que los operadores puedan trabajar sin una supervisin minuciosa y no puedan modificar los programas
ni los archivos que no correspondan.
- Asegurar que se estn utilizados los datos, archivos y programas correctos en y por el procedimiento correcto.
- Que la informacin transmitida sea recibida slo por el destinatario al cual ha sido enviada y no a otro.
- Que la informacin recibida sea la misma que ha sido transmitida.
- Que existan sistemas alternativos secundarios de transmisin entre diferentes puntos.
- Que se disponga de pasos alternativos de emergencia para la transmisin de informacin.
Controles de Acceso
Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de aplicacin, en bases de datos,
en un paquete especfico de seguridad o en cualquier otro utilitario.

Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de aplicacin y dems
software de la utilizacin o modificaciones no autorizadas; para mantener la integridad de la informacin
(restringiendo la cantidad de usuarios y procesos con acceso permitido) y para resguardar la informacin confidencial
de accesos no autorizados.

Asimismo, es conveniente tener en cuenta otras consideraciones referidas a la seguridad lgica, como por ejemplo
las relacionadas al procedimiento que se lleva a cabo para determinar si corresponde un permiso de acceso
(solicitado por un usuario) a un determinado recurso.

Al respecto, el National Institute for Standars and Technology (NIST)(1) ha resumido los siguientes estndares de
seguridad que se refieren a los requisitos mnimos de seguridad en cualquier sistema:
- Identificacin y Autentificacin (leer ms)

- Roles: El acceso a la informacin tambin puede controlarse a travs de la funcin o rol del usuario que requiere
dicho acceso. Algunos ejemplos de roles seran los siguientes: programador, lder de proyecto, gerente de un rea
usuaria, administrador del sistema, etc. En este caso los derechos de acceso pueden agruparse de acuerdo con el rol
de los usuarios.

- Transacciones: Tambin pueden implementarse controles a travs de las transacciones, por ejemplo solicitando
una clave al requerir el procesamiento de una transaccin determinada.

- Limitaciones a los Servicios: Estos controles se refieren a las restricciones que dependen de parmetros propios
de la utilizacin de la aplicacin o preestablecidos por el administrador del sistema. Un ejemplo podra ser que en la
organizacin se disponga de licencias para la utilizacin simultnea de un determinado producto de software para
cinco personas, en donde exista un control a nivel sistema que no permita la utilizacin del producto a un sexto
usuario.

- Modalidad de Acceso (leer ms)

- Ubicacin y Horario: El acceso a determinados recursos del sistema puede estar basado en la ubicacin fsica o
lgica de los datos o personas. En cuanto a los horarios, este tipo de controles permite limitar el acceso de los
usuarios a determinadas horas de da o a determinados das de la semana. De esta forma se mantiene un control
ms restringido de los usuarios y zonas de ingreso. Se debe mencionar que estos dos tipos de controles siempre
deben ir acompaados de alguno de los controles anteriormente mencionados.

- Control de Acceso Interno (leer ms)

- Control de Acceso Externo (leer ms)

- Administracin (leer ms)
Niveles de Seguridad Informtica
El estndar de niveles de seguridad mas utilizado internacionalmente es el TCSEC Orange Book(2), desarrollado en
1983 de acuerdo a las normas de seguridad en computadoras del Departamento de Defensa de los Estados Unidos.

Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el mnimo grado de
seguridad al mximo.
Estos niveles han sido la base de desarrollo de estndares europeos (ITSEC/ITSEM) y luego internacionales
(ISO/IEC).

Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: as el subnivel B2 abarca los
subniveles B1, C2, C1 y el D.
- Nivel D : Este nivel contiene slo una divisin y est reservada para sistemas que han sido evaluados y no
cumplen con ninguna especificacin de seguridad. Sin sistemas no confiables, no hay proteccin para el hardware, el
sistema operativo es inestable y no hay autentificacin con respecto a los usuarios y sus derechos en el acceso a la
informacin. Los sistemas operativos que responden a este nivel son MS-DOS y System 7.0 de Macintosh.

- Nivel C1: Proteccin Discrecional. Se requiere identificacin de usuarios que permite el acceso a distinta
informacin.

Cada usuario puede manejar su informacin privada y se hace la distincin entre los usuarios y el administrador del
sistema, quien tiene control total de acceso. Muchas de las tareas cotidianas de administracin del sistema slo
pueden ser realizadas por este "super usuario" quien tiene gran responsabilidad en la seguridad del mismo. Con la
actual descentralizacin de los sistemas de cmputos, no es raro que en una organizacin encontremos dos o tres
personas cumpliendo este rol.

Esto es un problema, pues no hay forma de distinguir entre los cambios que hizo cada usuario. A continuacin se
enumeran los requerimientos mnimos que debe cumplir la clase C1:
*-. Acceso de control discrecional: distincin entre usuarios y recursos. Se podrn definir grupos de usuarios
(con los mismos privilegios) y grupos de objetos (archivos, directorios, disco) sobre los cuales podrn actuar usuarios
o grupos de ellos.

*-. Identificacin y Autentificacin: se requiere que un usuario se identifique antes de comenzar a ejecutar
acciones sobre el sistema. El dato de un usuario no podr ser accedido por un usuario sin autorizacin o
identificacin.
- Nivel C2: Proteccin de Acceso Controlado. Este subnivel fue diseado para solucionar las debilidades del C1.
Cuenta con caractersticas adicionales que crean un ambiente de acceso controlado. Se debe llevar una auditoria de
accesos e intentos fallidos de acceso a objetos.

Tiene la capacidad de restringir an ms el que los usuarios ejecuten ciertos comandos o tengan acceso a ciertos
archivos, permitir o denegar datos a usuarios en concreto, con base no slo en los permisos, sino tambin en los
niveles de autorizacin.

Requiere que se audite el sistema. Esta auditora es utilizada para llevar registros de todas las acciones relacionadas
con la seguridad, como las actividades efectuadas por el administrador del sistema y sus usuarios.

La auditora requiere de autenticacin adicional para estar seguros de que la persona que ejecuta el comando es
quien dice ser. Su mayor desventaja reside en los recursos adicionales requeridos por el procesador y el subsistema
de discos.

Los usuarios de un sistema C2 tienen la autorizacin para realizar algunas tareas de administracin del sistema sin
necesidad de ser administradores.

Permite llevar mejor cuenta de las tareas relacionadas con la administracin del sistema, ya que es cada usuario
quien ejecuta el trabajo y no el administrador del sistema.

- Nivel B1: Seguridad Etiquetada: Este subnivel, es el primero de los tres con que cuenta el nivel B. Soporta
seguridad multinivel, como la secreta y ultrasecreta. Se establece que el dueo del archivo no puede modificar los
permisos de un objeto que est bajo control de acceso obligatorio.

A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un nivel de seguridad jerrquico (alto
secreto, secreto, reservado, etc.) y con unas categoras (contabilidad, nminas, ventas, etc.).

Cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo y viceversa. Es decir que cada
usuario tiene sus objetos asociados.

Tambin se establecen controles para limitar la propagacin de derecho de accesos a los distintos objetos.

- Nivel B2: Proteccin Estructurada. Requiere que se etiquete cada objeto de nivel superior por ser padre de un
objeto inferior. La Proteccin Estructurada es la primera que empieza a referirse al problema de un objeto a un nivel
mas elevado de seguridad en comunicacin con otro objeto a un nivel inferior.

As, un disco rgido ser etiquetado por almacenar archivos que son accedidos por distintos usuarios.

El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y seguridad son modificadas; y el
administrador es el encargado de fijar los canales de almacenamiento y ancho de banda a utilizar por los dems
usuarios.

- Nivel B3: Dominios de Seguridad. Refuerza a los dominios con la instalacin de hardware: por ejemplo el
hardware de administracin de memoria se usa para proteger el dominio de seguridad de acceso no autorizado a la
modificacin de objetos de diferentes dominios de seguridad.

Existe un monitor de referencia que recibe las peticiones de acceso de cada usuario y las permite o las deniega
segn las polticas de acceso que se hayan definido.

Todas las estructuras de seguridad deben ser lo suficientemente pequeas como para permitir anlisis y testeos ante
posibles violaciones.

Este nivel requiere que la terminal del usuario se conecte al sistema por medio de una conexin segura. Adems,
cada usuario tiene asignado los lugares y objetos a los que puede acceder.

- Nivel A: Proteccin Verificada. Es el nivel ms elevado, incluye un proceso de diseo, control y verificacin,
mediante mtodos formales (matemticos) para asegurar todos los procesos que realiza un usuario sobre el sistema.
Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores deben incluirse. El diseo
requiere ser verificado de forma matemtica y tambin se deben realizar anlisis de canales encubiertos y de
distribucin confiable. El software y el hardware son protegidos para evitar infiltraciones ante traslados o
movimientos del equipamiento.
Si en la antigedad los activos a proteger eran de condicin tangible y real, como el oro, los semovientes y las
personalidades, entre otras, hoy el activo fundamental se llama informacin. Esa pieza de datos procesados y
analizados que constituyen la nueva moneda y pasaporte para vivir en la sociedad actual. La informacin se convierte
en el activo de carcter intangible (por aquello que no es posible verlo a simple vista en su estado natural) y
susceptible de manipulacin, que hace que cada uno de sus
dueos muestre inters en su proteccin y control.
La informacin es ahora la razn evidente y concreta para que la
industria madure en el uso y control de la misma a travs de
dispositivos informticos y electrnicos que la reciban, almacenen,
analicen, controlen y reporten, de tal manera que las
organizaciones tomen decisiones, revisen sus estrategias y
promulguen sus planes.

Es importante aclarar, que si bien, en la antigedad se tena claro
el manejo de la informacin, particularmente en los sistemas de
inteligencia, en el contexto de la seguridad de la informacin, los
elementos tecnolgicos generan una complejidad particular que
debe ser enfrentada y administrada por los nuevos guardianes,
denominados analistas de seguridad.
Con la evolucin de la computacin, de un contexto cerrado y
limitado en los 1970s, a uno ms abierto y con ms oportunidades en los 1980s, se inicia la carrera para el desarrollo
de mecanismos de seguridad informtica, particularmente orientadas a las redes como son firewalls, sistemas de
deteccin de intrusos,criptografa asimtrica, Secure Socket Layer ( SSL, navegacin segura), proxies, entre otros, los
cuales establecen una nueva responsabilidad para el rea de tecnologas de informacin y por extensin de
proteccin a las reas de seguridad fsica.
Los nuevos mecanismos de seguridad que se presentan recogen las prcticas de los 1970s y desarrollan nuevas
funcionalidades para disminuir los impactos de la inseguridad propia de los protocolos asociados con TCP/IP ,
protocolo fundamental que se propone para interconectar los diferentes puntos tecnolgicos disponibles en una
organizacin.
En este contexto, avanzan rpidamente las propuestas de seguridad y control de la informacin que ahora, no est
concentrada en un punto especfico de la organizacin, sino que fluye de manera asincrnica (en diferentes
momentos) y asimtrica (en diferentes lugares y con diferentes temticas) dentro y fuera de las empresas, lo cual, si
lo comparamos con lo que se vea en la antigedad, es una oportunidad y amenaza que puede o no, debilitar la
posicin estratgica y tctica de una corporacin.
Convergencia: Seguridad Integral
Siguiendo lo establecido por ASIS International para la descripcin del cargo de un chief security officer ( CSO ), ste
es responsable por cuatro diferentes disciplinas de aplicacin de la administracin de riesgos: seguridad de la
informacin, seguridad fsica, continuidad del negocio y valoracin de riesgos.
En este contexto, se muestra claramente que el concepto especializado de seguridad, revisado en el desarrollo de
este documento, tiende a integrarse en un solo, que cobija las diferentes visiones del mismo problema al interior de
la organizacin. Agregaramos adicionalmente, los elementos propios de la proteccin de la vida humana como son
los sistemas de emergencias, sistemas contra incendio, primeros auxilios y evacuaciones.
La seguridad en el escenario propio de la globalizacin y de convergencia de los temas, no es una disciplina inmune a
esta tendencia. Comprender la seguridad en un contexto integral, establece el nuevo paradigma de la seguridad
corporativa como una disciplina de carcter sistmico y sistemtico, que no escatima en anlisis y revisiones para
identificar posibles focos de inseguridad en cualquiera de los dominios presentados, para avanzar en estrategias
interdisciplinarias que permitan una mejor comprensin de los riesgos de seguridad organizacionales.
Por tanto, no existe una priorizacin de temas, o valoracin de importancia entre ellos, pues todos suman al
descubrimiento y construccin del sistema de gestin de seguridad, que cruza culturas, dominios de conocimiento,
tipos de riesgos y amenazas, para concentrarse en los efectos de stos, no en activos particulares, sino en los
procesos de negocio, en sus flujos de informacin y su impacto en el logro de los objetivos organizacionales.
La seguridad integral en el contexto actual exige una reflexin profunda de cada uno de los especialistas actuales,
sus ideas, culturas e intereses, para que superando sus reas de conocimiento, se establezcan rutas de conocimiento
conjunto, armonizados por un solo objetivo, que es delinear una cultura de proteccin y valoracin de activos, que
sumando en un lenguaje comn, pueda comunicar, actuar y modelar los riesgos a partir de la experiencia misma de
las personas y su percepcin de las amenazas en el desarrollo de sus actividades.
Establecer lineamientos que permitan una seguridad integral, un concepto unificado de proteccin, implica cruzar los
dominios de la seguridad fsica, informtica, continuidad de negocio, valoracin de riesgos, emergencias,
evacuaciones, contraincendio, primeros auxilios e investigaciones derivadas de la materializacin de los riesgos, en el
escenario de sus operaciones y actividades detalladas, para luego evaluar las consideraciones tcticas de las mismas,
que nos lleven a una visin estratgica de la seguridad que sea aplicable al proceso mismo de negocio; que apoyado
con el especialista del rea, reconozca lo sistmico del concepto y, lo sistemtico y especializado de su aplicacin.
Del Enterprise Security Management (ESM) al Enterprise Security Governance (ESG)
La literatura especializada en temas de seguridad integral, as como las tendencias internacionales sobre la
convergencia de servicios y conceptos, detalla nuevas propuestas conceptuales que buscan ayudar a los
profesionales y tericos para visualizar una nueva prctica de la seguridad, ahora en un mundo global y ms
dinmico.
En este escenario los especialistas plantean una estrategia denominada enterprise security management (ESM), que
podra traducirse como Administracin o Gerencia de la Seguridad Corporativa, como ese concepto que permite a un
analista monitorear la infraestructura de una organizacin en tiempo real, indistintamente el producto, proveedor y
su versin. Si bien el concepto se utiliza generalmente en temas de tecnologas de informacin, recientemente se
hace extensivo a los temas de seguridad fsica y electrnica, forjando una visin integrada de la seguridad
organizacional, ms all de una alarma de alerta informtica o ataque informtico o de un acceso no autorizado o
violacin de un permetro de seguridad fsica.
El ESM es una respuesta concreta y prctica a la integracin de tecnologas y conceptos de seguridad fsica,
electrnica e informtica que busca recolectar los registros de auditora ( logs ), mensajes de error, fallas y alertas,
que se denominan eventos, los cuales vienen de diferentes fuentes y con diferentes formatos, para luego
correlacionarlos y establecer posibles patrones o vectores de ataque o incidentes en curso, que proporcionen a los
analistas de seguridad orientacin sobre las acciones que puedan adelantar frente al riesgo o amenaza identificada.
Contar con un ESM es una manera de visualizar un tablero de control y monitoreo de los diferentes puntos de la
infraestructura, que alineados con las mejores prcticas internacionales de registro, seguimiento y reconstruccin de
eventos, es capaz de responder a las iniciativas normativas internacionales sobre proteccin de activos (cualquiera
que stos sean) y como soporte a las investigaciones que de sus anlisis se deriven, para identificar a los posibles
intrusos o atacantes de la infraestructura.
Es importante anotar que contar con un ESM exige una infraestructura tecnolgica especializada, un conocimiento
holstico de los riesgos corporativos y la habilidad de cruzar de un dominio de especialidad tcnica en seguridad a
otro. Esto implica que las culturas de los especialistas de seguridad, los nuevos profesionales de la administracin de
riesgos y los entes de control, deben conjugar su experiencia y conocimiento para desarrollar unos nuevos lentes
preventivos y correctivos, que vean ms all de un hecho mismo y correlacionen las diferente variables del escenario
disponibles en los registros del ESM .
Si lo anterior es correcto, la siguiente evolucin lgica del ESM ser el Enterprise Security Governance ( ESG ), que
podramos traducirlo como el Gobierno de la Seguridad Corporativa, como un tema emergente tctico y estratgico
que desarrolla una arquitectura de seguridad corporativa general y transversal, que basada en la administracin
corporativa de la seguridad, es capaz de alinear las necesidades de los ejecutivos de la empresa: disponibilidad,
acceso, precisin y agilidad en un lenguaje comn de accin que sea parte natural de los procesos de negocio.
Esta arquitectura requiere de un arquitecto de seguridad; ese visionario que crea el concepto de cmo se deben dar
las relaciones entre las diferentes especialidades de la seguridad e instaura las reglas de diseo que permitan definir
los atributos del negocio crticos a proteger, los objetivos de control a considerar, las estrategias de seguridad y
control a implementar, el personal especializado para operar, los puntos de seguimiento y auditora para monitorear
y, una mente abierta y despierta para desaprender y evolucionar.
En esta nueva etapa planteada, que no es posible establecer cuando pueda ocurrir, las organizaciones podrn hacer
parte de sus discusiones de alto nivel los temas de seguridad, no como requisitos funcionales de la operacin de la
empresa, sino como una manera de generar valor y diferenciacin en los clientes. La seguridad ser parte de los
niveles ejecutivos como factor fundamental del proceso de la planeacin del negocio; como esa propiedad que le da
profundidad a las tendencias del mercado en cada una de las industrias.
Reflexiones Finales
"La preocupacin por el futuro, la idea de dnde estn las oportunidades y la comprensin del cambio organizativo
no son patrimonio exclusivo de un grupo concreto: las personas de todos los niveles de la empresa pueden ayudar a
definir el futuro."
Si esta afirmacin es correcta, el futuro de la seguridad integral o el gobierno de la seguridad corporativa, se inicia
en cada una de las iniciativas que se adelanten para comprender las diferentes integraciones de los dominios de
especialidad en la seguridad.
Estos esfuerzos de aprendizaje y descubrimiento de los puntos en comn de los diferentes temas que aborda la
seguridad, no es un desconocimiento de la necesidad de la especializacin de cada una de las reas, sino el llamado
formal de la academia, la industria, los reguladores y los gobiernos, para comprender de manera relacional y global
los efectos de la inseguridad en la dinmica de los negocios actuales.
La convergencia de la seguridad, en todos sus escenarios es la manera concreta y real de comprender que
requerimos modelar los riesgos y no asumirlos; que requerimos mayor confiabilidad de los procesos y no seguridad;
que requerimos una mente que descubra los nexos causales de los hechos y no slo concentrarnos en los hechos
particulares. Si asumimos los fenmenos convergentes de la seguridad en el escenario actual de un sistema
globalizado, es posible avanzar con mayor agilidad a la siguiente etapa planteada denominada el Gobierno de la
Seguridad Corporativa ( figura 3 ).

Relaciones entre gobierno, administracin y operacin de la seguridad
Este gobierno necesariamente estar enmarcado en un proceso de madurez, que deber asistir las acciones que
fortalezcan las estructuras concretas de toma de decisiones para actuar, los canales de comunicacin necesarios para
coordinar y los acuerdos corporativos para alinear y satisfacer las expectativas de la alta gerencia sobre la proteccin
de sus activos fsicos y de informacin.
La convergencia de la seguridad, en sus diferentes especialidades, es la respuesta nativa de la evolucin de la
inseguridad, como ese intruso invisible que habita en las relaciones evidentes entre la tecnologa, la organizacin, las
personas y las normas. Avanzar en la convergencia de la seguridad, con una mente sistmica, es dejar al descubierto
los rastros de la inseguridad en cada relacin, como una forma para seguir de cerca los retos y desafos que implican
las vulnerabilidades propias de los activos a proteger.
Por tanto, si usted est pensando en avanzar hacia una modelo convergente de la seguridad recuerde los siguientes
cinco (5) ingredientes vitales, que alimentarn su nimo y harn evidentes las relaciones entre el gobierno, la
administracin y la operacin:
1. Defina las expectativas de la Alta Gerencia como aquellos atributos de seguridad (confidencialidad,
integridad, disponibilidad, confiabilidad, trazabilidad, entre otros) que deben ser inherentes al negocio.
2. Disee su arquitectura de seguridad basada en los atributos propuestos en punto 1 y en los flujos de la
informacin corporativa.
3. Disee, implemente y actualice la infraestructura de seguridad conforme lo establecido en punto 2.
4. Administre los incidentes de seguridad como parte inherente de la operacin en punto 3.
5. Monitoree los temas de cumplimiento y normatividad que les sean aplicables.
Si est atento a estos ingredientes, su postura de seguridad convergente no slo tendr vida propia, sino que
animar la discusin sobre la transformacin de los ejecutivos de la seguridad, que ahora no sern slo parte del
grupo tctico y operacional, sino elementos de consideracin en las reflexiones de las juntas directivas.


Alok Mittal, responsable de la lnea de productos de Gestin de Informacin
de Seguridad Fsica de Cisco Systems, apuesta por la conectividad como
clave de la seguridad ciudadana.
Mucha gente utiliza dispositivos fsicos -como las tarjetas de identificacin
personal- para entrar y salir de los edificios. Sin embargo, esto tambin se
puede hacer virtualmente desde un ordenador conectado a una red. Con solo
identificarse con un cdigo, es posible regular la calefaccin, las luces o
comprobar a travs de un puado de cmaras quin se mueve por sus
pasillos, todo ello desde la pantalla y sin necesidad de acceder all
fsicamente.
Para Alok Mittal, responsable de la lnea de productos de Gestin de
Informacin de Seguridad Fsica de Cisco Systems (PSIM, por sus siglas en
ingls), esta convergencia entre la autenticacin fsica y digital est
sucediendo y la forma de responder a los retos que plantea y de aprovechar
sus ventajas pasa por potenciar la conectividad y la colaboracin.
Con las tecnologas mviles y los servicios en la nube en auge, Mittal se
encarga de disear plataformas que acerquen las necesidades entre la
seguridad fsica y lgica de los ciudadanos y de los espacios donde estos
viven y trabajan. Para hablar sobre ello, Mittal fue invitado a participar en el
panel de ciudades inteligentes de EmTech Colombia y comparti sus impresiones con MIT Technology Review en
espaol.
Pregunta: Qu aspecto tendrn las tecnologas de seguridad personal del futuro?
Alok Mittal: Todo va a girar en torno a la conectividad y la colaboracin. Cmo reducir el trfico y su impacto en la
salud o en el medio ambiente? Con ms colaboracin. Realizando acciones mientras ests sentado en casa. Lo
importante es la colaboracin y la conectividad remota, el cmo colaboras de forma efectiva con otros miembros de
la sociedad.
Qu papel jugar exactamente la seguridad?
La seguridad es un componente crtico en las ciudades porque tienes que asegurar que las personas y las
infraestructuras estn protegidas. Si eso no es as, la gente nunca se sentira confiada para trasladarse a una ciudad.
La seguridad es uno de los elementos capacitadores clave de las ciudades del futuro. Su adopcin se est
produciendo a travs de tecnologas como la videovigilancia, el control de acceso, la colaboracin entre varios
sistemas de radio o el streaming de video en tabletas y telfonos inteligentes.

(Ver documento ampliado sobre Videovigilancia)
Qu sistemas colaborativos est desarrollando Cisco?
La videovigilancia, por ejemplo. Las cmaras son sustitutos: no puedes tener
guardias en cada punto de la ciudad pero s cmaras. Una vez que identificas
un incidente necesitas la tecnologa para que puedan coordinarse varios
agentes y dar una respuesta unitaria y consolidada: bomberos, polica,
autoridades de diferentes jurisdicciones, etc. No importa mucho qu utilices.

Pueden ser diferentes tipos de dispositivos, cualquier tipo de conexin,
cualquier tipo de fuente debe poder conectarse, ya sea un iPhone, un iPad o los ordenadores de los coches patrulla.
Estamos hablando de la necesidad de conectividad que potencie la respuesta. Lo esencial es saber qu est pasando
en diferentes puntos de la ciudad y poder comunicar a las personas apropiadas.
Cmo gestionamos la gran cantidad de datos que captan estos sistemas?
Hay muchos tipos diferentes de sensores (de humo, de monxido de carbono, permetros de seguridad por si alguien
atraviesa una frontera, etc.) que envan advertencias y alarmas. La gestin de los datos se convierte en algo crtico, y
necesitamos usar tecnologa para extraer el ruido y establecer correlaciones que nos permitan atender solo las
alarmas reales. Por ejemplo, si solo llega una alarma concreta de un sistema, puede no ser importante, pero si me
llega la misma de cinco edificios diferentes quiz algo va mal.
En qu son mejores los sistemas de Cisco?
Todos estos sistemas son posibles porque estn en una plataforma comn llamada red IP y Cisco es el lder del
mercado de IP con casi 30 aos de experiencia. La infraestructura crtica de routers y conmutadores que permiten a
la gente comunicarse entre s en Internet son de Cisco. Las tecnologas de seguridad fsica, como las cmaras, no
van a seguir siendo analgicas sino que el video que captan es digitalizado y viaja por Internet a travs de la red IP.
Todas estas tecnologas requieren IP y Cisco ofrece fiabilidad y
soporte en todas las situaciones.
Hay hueco para start-ups en este campo?
Las start-ups juegan un rol muy importante. A medida que la
tecnologa mejora, a medida que la gente utiliza ms telfonos
mviles, o lleva sus dispositivos al trabajo, se crean nuevas
demandas de seguridad. Siempre que hay un salto tecnolgico
en cualquier materia hay algn aspecto de seguridad que
necesita ser desarrollado. La tendencia general ha sido que las
empresas grandes buscan start-ups que les provean de lo que
necesitan, en vez de construirlo todo ellas mismas,
especialmente desarrollos nuevos.
Con quin colabora Cisco para crear mejores sistemas
de seguridad?
Con cientos de empresas, entre ellas Google o Microsoft. Desde el punto de vista de la seguridad fsica estamos
mirando hacia estndares abiertos, de manera que la cmara de cualquier persona pueda comunicarse con cualquier
grabadora de video, o que el software como el del Gestor de Operaciones de Seguridad Fsica (PSOM, por sus siglas
en ingls) pueda recoger datos de cualquier sistema. De esta forma conseguimos sencillez para el cliente y que no
tenga que reemplazar toda su infraestructura.

(Anexo Seguridad Fsica)


Proteccin Electrnica
Se llama as a la deteccin de robo, intrusin, asalto e incendios mediante la utilizacin de sensores conectados a
centrales de alarmas. Estas centrales tienen conectadas los elementos de sealizacin que son los encargados de
hacerles saber al personal de una situacin de emergencia. Cuando uno de los elementos sensores detectan una
situacin de riesgo, stos transmiten inmediatamente el aviso a la central; sta procesa la informacin recibida y
ordena en respuesta la emisin de seales sonoras o luminosas alertando de la situacin.

Barreras Infrarrojas y de Micro-Ondas
Transmiten y reciben haces de luces infrarrojas y de micro-ondas respectivamente. Se codifican por medio de pulsos
con el fin de evadir los intentos de sabotaje. Estas barreras estn compuestas por un transmisor y un receptor de
igual tamao y apariencia externa.

Cuando el haz es interrumpido, se activa el sistema de alarma, y luego vuelve al estado de alerta. Estas barreras son
inmunes a fenmenos aleatorios como calefaccin, luz ambiental, vibraciones, movimientos de masas de aire, etc.

Las invisibles barreras fotoelctricas pueden llegar a cubrir reas de hasta 150 metros de longitud (distancias
exteriores). Pueden reflejar sus rayos por medio de espejos infrarrojos con el fin de cubrir con una misma barrera
diferentes sectores.

Las micro-ondas son ondas de radio de frecuencia muy elevada. Esto permite que el sensor opere con seales de
muy bajo nivel sin ser afectado por otras emisiones de radio, ya que estn muy alejadas en frecuencia.

Debido a que estos detectores no utilizan aire como medio de propagacin, poseen la ventaja de no ser afectados
por turbulencias de aire o sonidos muy fuertes.

Otra ventaja importante es la capacidad de atravesar ciertos materiales como son el vidrio, lana de vidrio, plstico,
tabiques de madera, revoques sobre madera, mampostera y hormign.

Detector Ultrasnico
Este equipo utiliza ultrasonidos para crear un campo de ondas. De esta manera, cualquier movimiento que realice un
cuerpo dentro del espacio protegido, generar una perturbacin en dicho campo que accionar la alarma. Este
sistema posee un circuito refinado que elimina las falsas alarmas. La cobertura de este sistema puede llegar a un
mximo de 40 metros cuadrados.

Detectores Pasivos Sin Alimentacin
Estos elementos no requieren alimentacin extra de ningn tipo, slo van conectados a la central de control de
alarmas para mandar la informacin de control. Los siguientes estn incluidos dentro de este tipo de detectores:
Detector de aberturas: contactos magnticos externos o de embutir.
Detector de roturas de vidrios: inmune a falsas alarmas provocadas por sonidos de baja frecuencia;
sensibilidad regulable.
Detector de vibraciones: detecta golpes o manipulaciones extraas sobre la superficie controlada.
Sonorizacin y Dispositivos Luminosos
Dentro de los elementos de sonorizacin se encuentran las sirenas, campanas, timbres, etc. Algunos dispositivos
luminosos son los faros rotativos, las balizas, las luces intermitentes, etc.

Estos deben estar colocados de modo que sean efectivamente odos o vistos por aquellos a quienes estn dirigidos.
Los elementos de sonorizacin deben estar bien identificados para poder determinar rpidamente si el estado de
alarma es de robo, intrusin, asalto o aviso de incendio.

Se pueden usar transmisores de radio a corto alcance para las instalaciones de alarmas locales. Los sensores se
conectan a un transmisor que enva la seal de radio a un receptor conectado a la central de control de alarmas
encargada de procesar la informacin recibida.

Circuitos Cerrados de Televisin (CCTV)


Permiten el control de todo lo que sucede en la planta segn lo
captado por las cmaras estratgicamente colocadas. Los
monitores de estos circuitos deben estar ubicados en un sector de
alta seguridad.

Las cmaras pueden estar a la vista (para ser utilizada como medida disuasiva) u ocultas (para evitar que el intruso
sepa que est siendo captado por el personal de seguridad).

Todos los elementos anteriormente descriptos poseen un control contra sabotaje, de manera que si en algn
momento se corta la alimentacin o se produce la rotura de alguno de sus componentes, se enviar una seal a la
central de alarma para que sta accione los elementos de sealizacin correspondientes.

(Ver documento ampliado sobre Videovigilancia)


Edificios Inteligentes
La infraestructura inmobiliaria no poda quedarse rezagada en lo que se refiere a avances tecnolgicos.

El Edificio Inteligente (surgido hace unos 10 aos) se define como una estructura que facilita a usuarios y
administradores, herramientas y servicios integrados a la administracin y comunicacin. Este concepto propone la
integracin de todos los sistemas existentes dentro del edificio, tales como telfonos, comunicaciones por
computadora, seguridad, control de todos los subsistemas del edificio (gas, calefaccin, ventilacin y aire
acondicionado, etc.) y todas las formas de administracin de energa.

Una caracterstica comn de los Edificios Inteligentes es la flexibilidad que deben tener para asumir modificaciones
de manera conveniente y econmica.

Sistemas Biomtricos
Definimos a la Biometra como "la parte de la biologa que estudia en forma cuantitativa la variabilidad individual de
los seres vivos utilizando mtodos estadsticos".

La Biometra es una tecnologa que realiza mediciones en forma electrnica, guarda y compara caractersticas nicas
para la identificacin de personas.

La forma de identificacin consiste en la comparacin de caractersticas fsicas de cada persona con un patrn
conocido y almacenado en una base de datos. Los lectores biomtricos identifican a la persona por lo que es (manos,
ojos, huellas digitales y voz).

Los Beneficios de una Tecnologa Biomtrica
Pueden eliminar la necesidad de poseer una tarjeta para acceder. Aunque las reducciones de precios han disminuido
el costo inicial de las tarjetas en los ltimos aos, el verdadero beneficio de eliminarlas consiste en la reduccin del
trabajo concerniente a su administracin.

Utilizando un dispositivo biomtrico los costos de administracin son ms pequeos, se realiza el mantenimiento del
lector, y una persona se encarga de mantener la base de datos actualizada. Sumado a esto, las caractersticas
biomtricas de una persona son intransferibles a otra.

Emisin de Calor: Se mide la emisin de calor del
cuerpo (termograma), realizando un mapa de valores
sobre la forma de cada persona.
Huella Digital: Basado en el principio de que no
existen dos huellas dactilares iguales, este sistema
viene siendo utilizado desde el siglo pasado con
excelentes resultados.

Cada huella digital posee pequeos arcos, ngulos,
bucles, remolinos, etc. (llamados minucias)
caractersticas y la posicin relativa de cada una de
ellas es lo analizado para establecer la identificacin
de una persona. Esta aceptado que dos personas no
tienen ms de ocho minucias iguales y cada una
posee ms de 30, lo que hace al mtodo sumamente
confiable.

Verificacin de Voz: La diccin de una (o ms) frase
es grabada y en el acceso se compara la vos (entonacin, diptongos, agudeza, etc.).
Este sistema es muy sensible a factores externos como el ruido, el estado de animo y enfermedades de la persona, el
envejecimiento, etc.
Verificacin de Patrones Oculares: Estos modelos pueden estar basados en los patrones del iris o de la retina y
hasta el momento son los considerados ms efectivos (en 200 millones de personas la probabilidad de coincidencia
es casi 0).

Su principal desventaja reside en la resistencia por parte de las personas a que les analicen los ojos, por revelarse en
los mismos enfermedades que en ocasiones se prefiere mantener en secreto.

Utilizacin de Guardias
Control de Personas: El Servicio de Vigilancia es el encargado del control de acceso de todas las personas al
edificio. Este servicio es el encargado de colocar los guardias en lugares estratgicos para cumplir con sus objetivos y
controlar el acceso del personal.

A cualquier personal ajeno a la planta se le solicitar completar un formulario de datos personales, los motivos de la
visita, hora de ingreso y de egreso, etc.

El uso de credenciales de identificacin es uno de los puntos ms importantes del sistema de seguridad, a fin de
poder efectuar un control eficaz del ingreso y egreso del personal a los distintos sectores de la empresa.

En este caso la persona se identifica por algo que posee, por ejemplo una tarjeta de identificacin. Cada una de ellas
tiene un PIN (Personal Identification Number) nico, siendo este el que se almacena en una base de datos para su
posterior seguimiento, si fuera necesario. Su mayor desventaja es que estas tarjetas pueden ser copiadas, robadas,
etc., permitiendo ingresar a cualquier persona que la posea.

Estas credenciales se pueden clasificar de la siguiente manera:
- Normal o definitiva: para el personal permanente de planta.
- Temporaria: para personal recin ingresado.
- Contratistas: personas ajenas a la empresa, que por razones de
servicio deben ingresar a la misma.
- Visitas.
Las personas tambin pueden acceder mediante algo que saben (por
ejemplo un nmero de identificacin o una password) que se
solicitar a su ingreso. Al igual que el caso de las tarjetas de
identificacin los datos ingresados se contrastarn contra una base
donde se almacena los datos de las personas autorizadas. Este
sistema tiene la desventaja que generalmente se eligen
identificaciones sencillas, bien se olvidan dichas identificaciones o
incluso las bases de datos pueden verse alteradas o robadas por
personas no autorizadas.

Control de Vehculos
Para controlar el ingreso y egreso de vehculos, el personal de vigilancia debe asentar en una planilla los datos
personales de los ocupantes del vehculo, la marca y patente del mismo, y la hora de ingreso y egreso de la
empresa.

Desventajas de la Utilizacin de Guardias
La principal desventaja de la aplicacin de personal de guardia es que ste puede llegar a ser sobornado por un
tercero para lograr el acceso a sectores donde no est habilitado, como as tambin para poder ingresar o egresar de
la planta con materiales no autorizados. Esta situacin de soborno es muy frecuente, por lo que es recomendable la
utilizacin de sistemas biomtricos para el control de accesos.

Ergometra
"La Ergonoma es una disciplina que se ocupa de estudiar la forma en que interacta el cuerpo humano con los
artefactos y elementos que lo rodean, buscando que esa interaccin sea lo menos agresiva y traumtica posible." (1)

El enfoque ergonmico plantea la adaptacin de los mtodos, los objetos, las maquinarias, herramientas e
instrumentos o medios y las condiciones de trabajo a la anatoma, la fisiologa y la psicologa del operador. Entre los
fines de su aplicacin se encuentra, fundamentalmente, la proteccin de los trabajadores contra problemas tales
como el agotamiento, las sobrecargas y el envejecimiento prematuro.

Trastornos seos y/o Musculares
Una de las maneras de provocar una lesin sea o muscular es obligar al cuerpo a ejecutar movimientos repetitivos y
rutinarios, y esta posibilidad se agrava enormemente si dichos movimientos se realizan en una posicin incorrecta o
antinatural.

En el ambiente informtico, la operacin del teclado es un movimiento repetitivo y continuo, si a esto le sumamos el
hecho de trabajar con una distribucin ineficiente de las teclas, el diseo antinatural del teclado y la ausencia (ahora
atenuada por el uso del mouse) de movimientos alternativos al de tecleado, tenemos un potencial riesgo de
enfermedades o lesiones en los msculos, nervios y huesos de manos y brazos.

En resumen, el lugar de trabajo debe estar diseado de manera que permita que el usuario se coloque en la posicin
ms natural posible. Como esta posicin variar de acuerdo a los distintos usuarios, lo fundamental en todo esto es
que el puesto de trabajo sea ajustable, para que pueda adaptarse a las medidas y posiciones naturales propias de
cada operador.

Trastornos Visuales
Los ojos, sin duda, son las partes ms afectadas por el trabajo con computadoras. La pantalla es una fuente de luz
que incide directamente sobre el ojo del operador, provocando, luego de exposiciones prolongadas el tpico
cansancio visual, irritacin y lagrimeo, cefalea y visin borrosa.

Si a esto le sumamos un monitor cuya definicin no sea la adecuada, se debe considerar la exigencia a la que se
sometern los ojos del usuario al intentar descifrar el contenido de la pantalla. Adems de la fatiga del resto del
cuerpo al tener que cambiar la posicin de la cabeza y el cuello para acercar los ojos a la misma.

Para prevenir los trastornos visuales en los operadores podemos tomar recaudos como tener especial cuidado al
elegir los monitores y placas de vdeo de las computadoras; y usar de pantallas antirreflejo o anteojos con proteccin
para el monitor, es una medida preventiva importante y de relativo bajo costo, que puede solucionar varios de los
problemas antes mencionados.

La Salud Mental
La carga fsica del trabajo adopta modalidades diferentes en los puestos informatizados. De hecho, disminuye los
desplazamientos de los trabajadores y las tareas requieren un menor esfuerzo muscular dinmico, pero aumenta, al
mismo tiempo, la carga esttica de acuerdo con las posturas inadecuadas asumidas.

Por su parte, la estandarizacin y racionalizacin que tiende a acompaar la aplicacin de las PCs en las tareas de
ingreso de datos, puede llevar a la transformacin del trabajo en una rutina inflexible que inhibe la iniciativa
personal, promueve sensaciones de hasto y monotona y conduce a una prdida de significado del trabajo.

Adems, el estrs informtico est convirtindose en una nueva enfermedad profesional relacionada con el trabajo,
provocada por la carga mental y psquica inherente a la operacin con los nuevos equipos.

Los efectos del estrs pueden encuadrarse dentro de varias categoras:
- Los efectos fisiolgicos inmediatos, caracterizados por el incremento de la presin arterial, el aumento de la
frecuencia cardiaca, etc.
- Los efectos psicolgicos inmediatos hacen referencia a la tensin, irritabilidad, clera, agresividad, etc. Estos
sentimientos pueden, a su vez, inducir ciertos efectos en el comportamiento tales como el consumo de alcohol y
psicofrmacos, el hbito de fumar, etc.
Tambin existen consecuencias mdicas a largo plazo, tales como enfermedades coronarias, hipertensin
arterial, lceras ppticas, agotamiento; mientras que las consecuencias psicolgicas a largo plazo pueden sealar
neurosis, insomnio, estados crnicos de ansiedad y/o depresin, etc.

La apata, sensaciones generales de insatisfaccin ante la vida, la prdida de la propia estima, etc., alteran
profundamente la vida personal, familiar y social del trabajador llevndolo, eventualmente, al aislamiento, al
ausentismo laboral y la prdida de la solidaridad social.

Ambiente Luminoso
Se parte de la base que las oficinas mal iluminadas son la principal causa de la prdida de la productividad en las
empresas y de un gasto energtico excesivo. Una iluminacin deficiente provoca dolores de cabeza y perjudica a los
ojos.

Ambiente Climtico
En cuanto al ambiente climtico, la temperatura de una oficina con computadoras debe estar comprendida entre 18 y
21 grados centgrados y la humedad relativa del aire debe estar comprendida entre el 45% y el 65%. En todos los
lugares hay que contar con sistemas que renueven el aire peridicamente. No menos importante es el ambiente
sonoro por lo que se recomienda no adquirir equipos que superen los 55 decibeles, sobre todo cuando trabajan
muchas personas en un mismo espacio.
Instalacin Elctrica
Trabajar con computadoras implica trabajar con electricidad. Por lo tanto esta una de las principales reas a
considerar en la seguridad fsica. Adems, es una problemtica que abarca desde el usuario hogareo hasta la gran
empresa.

En la medida que los sistemas se vuelven ms complicados se hace ms necesaria la presencia de un especialista
para evaluar riesgos particulares y aplicar soluciones que estn de acuerdo con una norma de seguridad industrial.

Picos y Ruidos Electromagnticos: Las subidas (picos) y cadas de tensin no son el nico problema elctrico al
que se han de enfrentar los usuarios. Tambin est el tema del ruido que interfiere en el funcionamiento de los
componentes electrnicos. El ruido interfiere en
los datos, adems de favorecer la escucha
electrnica.

Cableado: Los cables que se suelen utilizar para
construir las redes locales van del cable telefnico
normal al cable coaxil o la fibra ptica.

Algunos edificios de oficinas ya se construyen con
los cables instalados para evitar el tiempo y el
gasto posterior, y de forma que se minimice el
riesgo de un corte, rozadura u otro dao
accidental.

Los riesgos ms comunes para el cableado se
pueden resumir en los siguientes:
- Interferencia: estas modificaciones pueden estar generadas por cables de alimentacin de maquinaria pesada o
por equipos de radio o microondas. Los cables de fibra ptica no sufren el problema de alteracin (de los datos que
viajan a travs de l) por accin de campos elctricos, que si sufren los cables metlicos.

- Corte del cable: la conexin establecida se rompe, lo que impide que el flujo de datos circule por el cable.

- Daos en el cable: los daos normales con el uso pueden daar el apantallamiento que preserva la integridad de
los datos transmitidos o daar al propio cable, lo que hace que las comunicaciones dejen de ser fiables.
En la mayor parte de las organizaciones, estos problemas entran dentro de la categora de daos naturales. Sin
embargo tambin se pueden ver como un medio para atacar la red si el objetivo es nicamente interferir en su
funcionamiento.

El cable de red ofrece tambin un nuevo frente de ataque para un determinado intruso que intentase acceder a los
datos. Esto se puede hacer:
- Desviando o estableciendo una conexin no autorizada en la red: un sistema de administracin y
procedimiento de identificacin de acceso adecuados har difcil que se puedan obtener privilegios de usuarios en la
red, pero los datos que fluyen a travs del cable pueden estar en peligro.

- Haciendo una escucha sin establecer conexin, los datos se pueden seguir y pueden verse comprometidos.
Luego, no hace falta penetrar en los cables fsicamente para obtener los datos que transportan.
Cableado de Alto Nivel de Seguridad: Son cableados de redes que se recomiendan para instalaciones con grado
de seguridad militar. El objetivo es impedir la posibilidad de infiltraciones y monitoreos de la informacin que circula
por el cable. Consta de un sistema de tubos (hermticamente cerrados) por cuyo interior circula aire a presin y el
cable. A lo largo de la tubera hay sensores conectados a una computadora. Si se detecta algn tipo de variacin de
presin se dispara un sistema de alarma.

Pisos de Placas Extrables: Los cables de alimentacin, comunicaciones, interconexin de equipos, receptculos
asociados con computadoras y equipos de procesamiento de datos pueden ser, en caso necesario, alojados en el
espacio que, para tal fin se dispone en los pisos de placas extrables, debajo del mismo.

Sistema de Aire Acondicionado: Se debe proveer un sistema de calefaccin, ventilacin y aire acondicionado
separado, que se dedique al cuarto de computadoras y equipos de proceso de datos en forma exclusiva.

Teniendo en cuenta que los aparatos de aire acondicionado son causa potencial de incendios e inundaciones, es
recomendable instalar redes de proteccin en todo el sistema de caera al interior y al exterior, detectores y
extinguidores de incendio, monitores y alarmas efectivas.

Emisiones Electromagnticas: Desde hace tiempo se sospecha que las emisiones, de muy baja frecuencia que
generan algunos perifricos, son dainas para el ser humano.

Segn recomendaciones cientficas estas emisiones podran reducirse mediante filtros adecuados al rango de las
radiofrecuencias, siendo estas totalmente seguras para las personas. Para conseguir que las radiaciones sean
mnimas hay que revisar los equipos constantemente y controlar su envejecimiento.

Condiciones Climatolgicas
Normalmente se reciben por anticipado los avisos de tormentas,
tempestades, tifones y catstrofes ssmicas similares. Las
condiciones atmosfricas severas se asocian a ciertas partes del
mundo y la probabilidad de que ocurran est documentada.

La frecuencia y severidad de su ocurrencia deben ser tenidas en
cuenta al decidir la construccin de un edificio. La comprobacin
de los informes climatolgicos o la existencia de un servicio que
notifique la proximidad de una tormenta severa, permite que se
tomen precauciones adicionales, tales como la retirada de objetos
mviles, la provisin de calor, iluminacin o combustible para la
emergencia.

Terremotos: Estos fenmenos ssmicos pueden ser tan poco intensos que solamente instrumentos muy sensibles
los detectan o tan intensos que causan la destruccin de edificios y hasta la prdida de vidas humanas. El problema
es que en la actualidad, estos fenmenos estn ocurriendo en lugares donde no se los asociaba. Por fortuna los
daos en las zonas improbables suelen ser ligeros.
Incendios
Los incendios son causados por el uso inadecuado de combustibles, fallas de instalaciones elctricas defectuosas y el
inadecuado almacenamiento y traslado de sustancias peligrosas.

El fuego es una de las principales amenazas contra la seguridad. Es considerado el enemigo nmero uno de las
computadoras ya que puede destruir fcilmente los archivos de informacin y programas.

Desgraciadamente los sistemas antifuego dejan mucho que desear, causando casi igual dao que el propio fuego,
sobre todo a los elementos electrnicos. El dixido de carbono, actual alternativa del agua, resulta peligroso para los
propios empleados si quedan atrapados en la sala de cmputos.

Los diversos factores a contemplar para reducir los riesgos de incendio a los que se encuentra sometido un centro de
cmputos son:
El rea en la que se encuentran las computadoras debe estar en un local que no sea combustible o inflamable.

El local no debe situarse encima, debajo o adyacente a reas donde se procesen, fabriquen o almacenen materiales
inflamables, explosivos, gases txicos o sustancias radioactivas.

Las paredes deben hacerse de materiales incombustibles y extenderse desde el suelo al techo. Debe construirse un
"falso piso" instalado sobre el piso real, con materiales incombustibles y resistentes al fuego. No debe estar permitido
fumar en el rea de proceso.

Deben emplearse muebles incombustibles, y cestos metlicos para papeles. Deben evitarse los materiales plsticos e
inflamables. El piso y el techo en el recinto del centro de cmputo y de almacenamiento de los medios magnticos
deben ser impermeables.

Seguridad del Equipamiento
Es necesario proteger los equipos de cmputo
instalndolos en reas en las cuales el acceso a los
mismos slo sea para personal autorizado. Adems, es
necesario que estas reas cuenten con los
mecanismos de ventilacin y deteccin de incendios
adecuados.

Para protegerlos se debe tener en cuenta que:
- La temperatura no debe sobrepasar los 18 C y el
limite de humedad no debe superar el 65% para
evitar el deterioro.
- Los centros de cmputos deben estar provistos de
equipo para la extincin de incendios en relacin al
grado de riesgo y la clase de fuego que sea posible en ese mbito.
- Deben instalarse extintores manuales (porttiles) y/o automticos (rociadores).
Recomendaciones
El personal designado para usar extinguidores de fuego debe ser entrenado en su uso. Si hay sistemas de deteccin
de fuego que activan el sistema de extincin, todo el personal de esa rea debe estar entrenado para no interferir
con este proceso automtico. Implementar paredes protectoras de fuego alrededor de las reas que se desea
proteger del incendio que podra originarse en las reas adyacentes.

Proteger el sistema contra daos causados por el humo. Este, en particular la clase que es principalmente espeso,
negro y de materiales especiales, puede ser muy daino y requiere una lenta y costosa operacin de limpieza.
Mantener procedimientos planeados para recibir y almacenar abastecimientos de papel.

Suministrar informacin, del centro de computo, al departamento local de bomberos, antes de que ellos sean
llamados en una emergencia. Hacer que este departamento est consciente de las particularidades y vulnerabilidades
del sistema, por excesivas cantidades de agua y la conveniencia de una salida para el humo, es importante. Adems,
ellos pueden ofrecer excelentes consejos como precauciones para prevenir incendios.
Relacionado:
06/06/2013: BUENAS PRCTICAS EN INSTALACIN Y PUESTA EN MARCHA DE UN SISTEMA CONTRA INCENDIOS

(Anexo Seguridad Lgica)
Identificacin y Autentificacin
Es la primera lnea de defensa para la mayora de los sistemas computarizados, permitiendo prevenir el ingreso de
personas no autorizadas. Es la base para la mayor parte de los controles de acceso y para el seguimiento de las
actividades de los usuarios.

Se denomina Identificacin al momento en que el usuario se da a conocer en el sistema; y Autenticacin a la
verificacin que realiza el sistema sobre esta identificacin.

Al igual que se consider para la seguridad fsica, y basada en ella, existen cuatro tipos de tcnicas que permiten
realizar la autenticacin de la identidad del usuario, las cuales pueden ser utilizadas individualmente o combinadas:
- Algo que solamente el individuo conoce: por ejemplo una clave secreta de acceso o password, una clave
criptogrfica, un nmero de identificacin personal o PIN, etc.
- Algo que la persona posee: por ejemplo una tarjeta magntica.
- Algo que el individuo es y que lo identifica unvocamente: por ejemplo las huellas digitales o la voz.
- Algo que el individuo es capaz de hacer: por ejemplo los
patrones de escritura.
Para cada una de estas tcnicas vale lo mencionado en el caso de la
seguridad fsica en cuanto a sus ventajas y desventajas. Se destaca
que en los dos primeros casos enunciados, es frecuente que las
claves sean olvidadas o que las tarjetas o dispositivos se pierdan,
mientras que por otro lado, los controles de autenticacin
biomtricos seran los ms apropiados y fciles de administrar,
resultando ser tambin, los ms costosos por lo dificultosos de su
implementacin eficiente.

Desde el punto de vista de la eficiencia, es conveniente que los
usuarios sean identificados y autenticados solamente una vez,
pudiendo acceder a partir de all, a todas las aplicaciones y datos a
los que su perfil les permita, tanto en sistemas locales como en
sistemas a los que deba acceder en forma remota. Esto se denomina
"single login" o sincronizacin de passwords.

Una de las posibles tcnicas para implementar esta nica
identificacin de usuarios sera la utilizacin de un servidor de autenticaciones sobre el cual los usuarios se
identifican, y que se encarga luego de autenticar al usuario sobre los restantes equipos a los que ste pueda
acceder. Este servidor de autenticaciones no debe ser necesariamente un equipo independiente y puede tener sus
funciones distribuidas tanto geogrfica como lgicamente, de acuerdo con los requerimientos de carga de tareas.

La Seguridad Informtica se basa, en gran medida, en la efectiva administracin de los permisos de acceso a los
recursos informticos, basados en la identificacin, autenticacin y autorizacin de accesos.

Esta administracin abarca:
- Proceso de solicitud, establecimiento, manejo, seguimiento y cierre de las cuentas de usuarios. Es
necesario considerar que la solicitud de habilitacin de un permiso de acceso para un usuario determinado, debe
provenir de su superior y, de acuerdo con sus requerimientos especficos de acceso, debe generarse el perfil en el
sistema de seguridad, en el sistema operativo o en la aplicacin segn corresponda.

- Adems, la identificacin de los usuarios debe definirse de acuerdo con una norma homognea para toda la
organizacin.

- Revisiones peridicas sobre la administracin de las cuentas y los permisos de acceso establecidos. Las mismas
deben encararse desde el punto de vista del sistema operativo, y aplicacin por aplicacin, pudiendo ser llevadas a
cabo por personal de auditora o por la gerencia propietaria del sistema; siempre sobre la base de que cada usuario
disponga del mnimo permiso que requiera de acuerdo con sus funciones.

- Las revisiones deben orientarse a verificar la adecuacin de los permisos de acceso de cada individuo de
acuerdo con sus necesidades operativas, la actividad de las cuentas de usuarios o la autorizacin de cada habilitacin
de acceso. Para esto, deben analizarse las cuentas en busca de perodos de inactividad o cualquier otro aspecto
anormal que permita una redefinicin de la necesidad de acceso.

- Deteccin de actividades no autorizadas. Adems de realizar auditorias o efectuar el seguimiento de los
registros de transacciones (pistas), existen otras medidas que ayudan a detectar la ocurrencia de actividades no
autorizadas. Algunas de ellas se basan en evitar la dependencia hacia personas determinadas, estableciendo la
obligatoriedad de tomar vacaciones o efectuando rotaciones peridicas a las funciones asignadas a cada una.

- Nuevas consideraciones relacionadas con cambios en la asignacin de funciones del empleado. Para
implementar la rotacin de funciones, o en caso de reasignar funciones por ausencias temporales de algunos
empleados, es necesario considerar la importancia de mantener actualizados los permisos de acceso.

- Procedimientos a tener en cuenta en caso de desvinculaciones de personal con la organizacin, llevadas a cabo
en forma amistosa o no. Los despidos del personal de sistemas presentan altos riesgos ya que en general se trata de
empleados con capacidad para modificar aplicaciones o la configuracin del sistema, dejando "bombas lgicas" o
destruyendo sistemas o recursos informticos. No obstante, el personal de otras reas usuarias de los sistemas
tambin puede causar daos, por ejemplo, introduciendo informacin errnea a las aplicaciones intencionalmente.
Para evitar estas situaciones, es recomendable anular los permisos de acceso a las personas que se desvincularn de
la organizacin, lo antes posible. En caso de despido, el permiso de acceso debera anularse previamente a la
notificacin de la persona sobre la situacin.
Modalidad de Acceso
Se refiere al modo de acceso que se permite al usuario sobre los recursos y a la informacin. Esta modalidad puede
ser:
- Lectura: el usuario puede nicamente leer o visualizar la informacin pero no puede alterarla. Debe considerarse
que la informacin puede ser copiada o impresa.
- Escritura: este tipo de acceso permite agregar datos, modificar o borrar informacin.
- Ejecucin: este acceso otorga al usuario el privilegio de ejecutar programas.
- Borrado: permite al usuario eliminar recursos del sistema (como programas, campos de datos o archivos). El
borrado es considerado una forma de modificacin.
- Todas las anteriores.

Adems existen otras modalidades de acceso especiales, que generalmente se incluyen en los sistemas de aplicacin:

- Creacin: permite al usuario crear nuevos archivos, registros o campos.
- Bsqueda: permite listar los archivos de un directorio determinado.
Control de Acceso Interno
Palabras Claves (Passwords): Generalmente se utilizan para realizar la autenticacin del usuario y sirven para
proteger los datos y aplicaciones. Los controles implementados a travs de la utilizacin de palabras clave resultan
de muy bajo costo. Sin embargo cuando el usuario se ve en la necesidad de utilizar varias palabras clave para
acceder a diversos sistemas encuentra dificultoso recordarlas y probablemente las escriba o elija palabras fcilmente
deducibles, con lo que se ve disminuida la utilidad de esta tcnica.

Se podr, por aos, seguir creando sistemas altamente seguros, pero en ltima instancia cada uno de ellos se
romper por este eslabn: la eleccin de passwords dbiles.

Sera deseable usar passwords seguras ya que aqu radican
entre el 90% y 99% de los problemas de seguridad planteados.
- Sincronizacin de passwords: consiste en permitir que un
usuario acceda con la misma password a diferentes sistemas
interrelacionados y, su actualizacin automtica en todos ellos
en caso de ser modificada.

Podra pensarse que esta es una caracterstica negativa para la
seguridad de un sistema, ya que una vez descubierta la clave de
un usuario, se podra tener acceso a los mltiples sistemas a los
que tiene acceso dicho usuario.

Sin embargo, estudios hechos muestran que las personas
normalmente suelen manejar una sola password para todos los sitios a los que tengan acceso, y que si se los fuerza
a elegir diferentes passwords tienden a guardarlas escritas para no olvidarlas, lo cual significa un riesgo an mayor.

Para implementar la sincronizacin de passwords entre sistemas es necesario que todos ellos tengan un alto nivel de
seguridad.

- Caducidad y control: este mecanismo controla cundo pueden y/o deben cambiar sus passwords los usuarios. Se
define el perodo mnimo que debe pasar para que los usuarios puedan cambiar sus passwords, y un perodo mximo
que puede transcurrir para que stas caduquen.

Encriptacin: La informacin encriptada solamente puede ser desencriptada por quienes posean la clave apropiada.
La encriptacin puede proveer de una potente medida de control de acceso. Este tema ser abordado con
profundidad en el Captulo sobre Proteccin del presente.

Listas de Control de Accesos: Se refiere a un registro donde se encuentran los nombres de los usuarios que
obtuvieron el permiso de acceso a un determinado recurso del sistema, as como la modalidad de acceso permitido.
Este tipo de listas varan considerablemente en su capacidad y flexibilidad.

Lmites sobre la Interfase de Usuario: Esto lmites, generalmente, son utilizados en conjunto con las listas de
control de accesos y restringen a los usuarios a funciones especficas. Bsicamente pueden ser de tres tipos: mens,
vistas sobre la base de datos y lmites fsicos sobre la interfase de usuario. Por ejemplo los cajeros automticos
donde el usuario slo puede ejecutar ciertas funciones presionando teclas especficas.

Etiquetas de Seguridad: Consiste en designaciones otorgadas a los recursos (como por ejemplo un archivo) que
pueden utilizarse para varios propsitos como control de accesos, especificacin de medidas de proteccin, etc. Estas
etiquetas no son modificables.
Control de Acceso Externo
Dispositivos de Control de Puertos: Estos dispositivos autorizan el acceso a un puerto determinado y pueden
estar fsicamente separados o incluidos en otro dispositivo de comunicaciones, como por ejemplo un mdem.

Firewalls o Puertas de Seguridad: Permiten bloquear o filtrar el acceso entre dos redes, usualmente una privada
y otra externa (por ejemplo Internet). Los firewalls permiten que los usuarios internos se conecten a la red exterior
al mismo tiempo que previenen la intromisin de atacantes o virus a los sistemas de la organizacin. Este tema ser
abordado con posterioridad.

Acceso de Personal Contratado o Consultores: Debido a que este tipo de personal en general presta servicios
temporarios, debe ponerse especial consideracin en la poltica y administracin de sus perfiles de acceso.

Accesos Pblicos: Para los sistemas de informacin consultados por el pblico en general, o los utilizados para
distribuir o recibir informacin computarizada (mediante, por ejemplo, la distribucin y recepcin de formularios en
soporte magntico, o la consulta y recepcin de informacin a travs del correo electrnico) deben tenerse en cuenta
medidas especiales de seguridad, ya que se incrementa el riesgo y se dificulta su administracin.

Debe considerarse para estos casos de sistemas pblicos, que un ataque externo o interno puede acarrear un
impacto negativo en la imagen de la organizacin.
Administracin de Seguridad
Una vez establecidos los controles de acceso sobre los sistemas y la aplicacin, es necesario realizar una eficiente
administracin de estas medidas de seguridad lgica, lo que involucra la implementacin, seguimientos, pruebas y
modificaciones sobre los accesos de los usuarios de los sistemas.

La poltica de seguridad que se desarrolle respecto a la seguridad lgica debe guiar a las decisiones referidas a la
determinacin de los controles de accesos y especificando las consideraciones necesarias para el establecimiento de
perfiles de usuarios.

La definicin de los permisos de acceso requiere determinar cual ser el nivel de seguridad necesario sobre los datos,
por lo que es imprescindible clasificar la informacin, determinando el riesgo que producira una eventual exposicin
de la misma a usuarios no autorizados.

As los diversos niveles de la informacin requerirn diferentes medidas y niveles de seguridad.

Para empezar la implementacin, es conveniente comenzar definiendo las medidas de seguridad sobre la informacin
ms sensible o las aplicaciones ms crticas, y avanzar de acuerdo a un orden de prioridad descendiente, establecido
alrededor de las aplicaciones.

Una vez clasificados los datos, debern establecerse las medidas de seguridad para cada uno de los niveles.

Un programa especfico para la administracin de los usuarios informticos desarrollado sobre la base de las
consideraciones expuestas, puede constituir un compromiso vaco, si no existe una conciencia de la seguridad
organizacional por parte de todos los empleados. Esta conciencia de la seguridad puede alcanzarse mediante el
ejemplo del personal directivo en el cumplimiento de las polticas y el establecimiento de compromisos firmados por
el personal, donde se especifique la responsabilidad de cada uno.

Pero adems de este compromiso debe existir una concientizacin por parte de la administracin hacia el personal en
donde se remarque la importancia de la informacin y las consecuencias posibles de su prdida o apropiacin de la
misma por agentes extraos a la organizacin.

Administracin del Personal y Usuarios - Organizacin del
Personal
Este proceso lleva generalmente cuatro pasos:
- Definicin de puestos: debe contemplarse la mxima separacin de
funciones posibles y el otorgamiento del mnimo permiso de acceso
requerido por cada puesto para la ejecucin de las tareas asignadas.

- Determinacin de la sensibilidad del puesto: para esto es
necesario determinar si la funcin requiere permisos riesgosos que le
permitan alterar procesos, perpetrar fraudes o visualizar informacin
confidencial.

- Eleccin de la persona para cada puesto: requiere considerar los requerimientos de experiencia y
conocimientos tcnicos necesarios para cada puesto. Asimismo, para los puestos definidos como crticos puede
requerirse una verificacin de los antecedentes personales

- Entrenamiento inicial y continuo del empleado: cuando la persona seleccionada ingresa a la organizacin,
adems de sus responsabilidades individuales para la ejecucin de las tares que se asignen, deben comunicrseles
las polticas organizacionales, haciendo hincapi en la poltica de seguridad. El individuo debe conocer las
disposiciones organizacionales, su responsabilidad en cuanto a la seguridad informtica y lo que se espera de l.
Esta capacitacin debe orientarse a incrementar la conciencia de la necesidad de proteger los recursos informticos y
a entrenar a los usuarios en la utilizacin de los sistemas y equipos para que ellos puedan llevar a cabo sus funciones
en forma segura, minimizando la ocurrencia de errores (principal riesgo relativo a la tecnologa informtica).

Slo cuando los usuarios estn capacitados y tienen una conciencia formada respecto de la seguridad pueden asumir
su responsabilidad individual. Para esto, el ejemplo de la gerencia constituye la base fundamental para que el
entrenamiento sea efectivo: el personal debe sentir que la seguridad es un elemento prioritario dentro de la
organizacin.






Bibliografa: http://www.gitsinformatica.com/seguridad%20logica%20fisica.html